PILLOLA ROSSA O PILLOLA BLU

La strategia dell’inganno è una tecnica di tipo militare i cui riferimenti  vantano una vita di oltre duemila anni. Molto spesso cito l’Arte della Guerra di Sun Tzu per illustrare questa metodologia, ma va da sé che non è l’unico riferimento storico letterario: pensiamo ad es. ai “trentasei stratagemmi”: un trattato di strategia militare cinese che descrive una serie di astuzie usate in guerra, in politica e nella vita sociale, spesso tramite mezzi non ortodossi e ingannevoli. Il testo è stato scritto probabilmente durante la Dinastia Ming (1366-1610).

Necessaria è la descrizione a monte del problema che ai più può non essere perfettamente noto.  A tal fine mi permetto di fissare, in un breve elenco puntato, riferimenti utili per ulteriori – eventuali – approfondimenti personali:

  • Parinacota: uno dei primi gruppi realmente specializzati con un concetto di affiliazione. Si parla in articoli come quelli di Microsoft come Human-operated ransomware. Nella realtà queste forme di congregazione hanno iniziato a svilupparsi fin dal 2016 con una specializzazione minore in quanto il costo della gestione di una tale organizzazione non portava ancora cosi vantaggiosi profitti.
  • Affiliazione: gruppi specializzati che si riuniscono in congregazioni al fine di ottimizzare al meglio il processo.
  • Initial Access Broker: aziende con capacità medie in grado di creare accessi legittimi alle reti e metterli in affitto, raccolgono informazioni utili a capire il modello di business dell’azienda, chi fa che cosa e la capacità finanziaria di pagamento di un riscatto. Racchiudono tutte queste informazioni all’interno di un pacchetto che verrà messo in vendita sulla piattaforma Ransomware As A Service. l’Italia alla data di Gennaio 2022 era al terzo posto come mercato per l’Europa grazie ad alcuni attacchi eclatanti che hanno catalizzato l’attenzione di queste aziende.
  • Ransomware as a Service: un operatore con capacità più evolute che è in grado di fornire una piattaforma altamente specializzata di attacco, strumenti, help Desk, piattaforma di comunicazione e scambio file, gestione dei pagamenti; tutto altamente automatizzato ed efficiente volto alla mera creazione di business.
  • Operatori: persone con capacità di pentest ma non necessariamente evoluti che utilizzano questi strumenti affiliandosi ad uno o più operatori RaaS al fine di remunerare un investimento con tecniche di estorsione di tipo terroristico.

I seguenti  punti aiutano a capire, nel dettaglio, non tanto contro chi stiamo combattendo, bensì come lo fanno.

  • La kill chain è la rappresentazione “in fasi” di un attacco. E’ ampiamente spiegata in rete e presumo che molti di voi l’abbiano già studiata.
  • Nel documento ETL di Enisa rilasciato il 27 ottobre 2021 si evidenzia che il Ransomware è il problema numero uno di tutte le aziende ma, anche ammettendo che non esistesse, comunque resterebbe il restante 90% dello scenario che molti non stanno prendendo in considerazione.

Nel documento State of Internet Security 2018 e 2019, rilasciato da Enisa, si fa una analisi di dati presi da fonti attendibili (CVE, ZeroDay, Shodan etc.etc.) da cui si evince un qualcosa che ancora oggi, a distanza di due anni, le persone ancora non comprendono. La prima, che gran parte delle tecniche di attacco si concentrano in una particolare fase denominata Evasion spiegata all’interno dello standard Mitre.  In altre parole, gran parte delle tattiche utilizzate durante gli attacchi sono in questa particolare fase.

La seconda: sempre nel documento State of internet Security si evince che il punto di inizio di un attacco non è più nei movimenti laterali. La “clusterizzazione gerarchica” di un attacco oggi inizia dalle tecniche di evasione.

  • Arriviamo fino ai giorni nostri dove una importante ricerca rilasciata il 23 febbraio 2022 denominata Sightings Ecosystem: A Data-driven Analysis of ATT&CK in the Wild si evince che gran parte dei moderni attacchi Ransomware utilizzano codice che utilizza tattiche che per la maggiore si trovano nella fase della Evasion.
  • Analizzando codice malevolo utilizzato in molti attacchi andati a buon fine si comprende che vengono utilizzate tecniche di Evasion e di Discovery sfruttando eseguibili legittimi già presenti all’interno dei sistemi operativi (Living off the Land attack).
  • Potremo continuare a citare ulteriori riferimenti documentali, ma rischierei di appesantire la lettura. Mi rimetto, così, alla curiosità personale di approfondimento del tema in autonomia.

Conclusioni:

  • Avere oggi la presunzione di possedere delle tecnologie al passo con l’ingegno degli attaccanti, è chiaro a tutti, che è un approccio fallimentare. Siamo sempre in ritardo ed è una battaglia contro il tempo.
  • Ricordiamoci che dobbiamo difenderci sempre, da molti e che basta un solo errore per trovarsi in cattive acque. Le vicende degli ultimi mesi ci hanno ampiamente dimostrato che aziende molto evolute, operanti anche nel campo della CyberSecurity, sono state vittime inermi  di attacchi andati a buon fine.

Con tutto ciò premesso, cosa è la metodologia ad inganno o Deception?

Il mercato ha voluto declinare questa metodologia  sostenendo e diffondendo tecnologie nate ben oltre 20 anni fa come HoneyPot, Decoy o CanaryToken. Oggetti che mimano servizi, applicazioni od informazioni presumibilmente molto attrattive per gli attaccanti, al fine di spingerli a palesarsi, a rendersi visibili.
Il Reale mercato ha ampiamente dimostrato come questo approccio sia fallimentare: come puoi ingannare qualcuno che ti conosce fin nei minimi dettagli al punto da non creare più nessun indicatore di compromissione o di attacco? Inoltre, molte di queste aziende che producevano questo genere di soluzioni sono state acquisite da altre che forniscono prettamente soluzioni storicamente di tipo end point protection come AV, NGAV, EDR e coo. solo per avere un nuovo messaggio marketing e per poter dire che hanno approcciato questa “nuova”metodologia.

Cosa è e cosa comporta usare la metodologia della deception nel dettaglio?

 

Sappiamo perfettamente da  numerose analisi effettuate che un attacco si articola in molte fasi e che può durare diversi giorni.

Nella prima fase riceviamo, attraverso molteplici canali, un codice che adotta tecniche di Discovery. Molte di queste tattiche usano eseguibili e tool già presenti sul sistema per capire se si trovano veramente nell’ambiente desiderato oppure si trovano in un ambiente ostile a loro, come ad esempio una Sandbox.
Oltre il 90% delle tattiche utilizzate sono mirate proprio alla verifica dell’ambiente e specificatamente al rilevare se si trovano all’interno di una sandbox.

 

Qual è l’elemento differenziante? Un codice buono, se utilizza “tattiche lecite”, per capire dove si trova al fine di ottimizzare il suo funzionamento anche se non ha chiaro dove sia, comunque andrà in esecuzione. Un codice malevolo se non ha chiaro dove si trova, oppure percepisce di trovarsi in un ambiente ostile, desisterà dal fare qualsiasi altra azione al fine di non essere rilevato ed attenderà di arrivare al target desiderato.

Rispondendo con tattiche dinamiche atte a creare una condizione, definita “di caos”, è altamente probabile che il codice malevolo non andrà mai oltre questa fase e non intraprenderà mai una reale fase esecutiva.

Stiamo parlando di un reale approccio preventivo alla cybersecurity.

 

Continuando l’analisi degli  attacchi avvenuti scopriamo che tecniche di Discovery ed Evasion vengono effettuate più e più volte durante tutta le fasi dell’attacco. Questo perché una piattaforma Raas è in grado di cambiare, ingegnerizzate e riprogrammare un’intero  ciclo di attacco, qualora, in qualsiasi fase, capisca che qualcosa è cambiato od è stato modificato.
Quindi oggi gran parte degli strumenti che stiamo utilizzando hanno un approccio sbagliato alla realtà della situazione. Se effettuano un palese blocco come la cancellazione, la quarantena o lo shutdown di un servizio o di un host, non facciamo altro che informare la piattaforma Raas dotata di IA che li abbiamo rilevati  permettendo loro di modificare il playbook di attacco al fine di proseguire i loro intenti.

Nella metodologia ad inganno non vi è mai una azione palese. Durante la fase esecutiva di un attacco, si permette per qualche milli secondo al codice malevolo di effettuare la sua attività rispondendo con feedback fasulli  contenenti indicazioni di attacco  avvenuto con successo. L’effetto è che la piattaforma Raas presumendo il successo non cambia la sua strategia, rendendosi magari maggiormente pericolosa, perchè ingannata dal fatto che crede che l’attacco sia andato a buon fine.

Mi occupo di Deceptive Bytes dal 2016. E’ stato reso pubblico nel dicembre 2019  a seguito del rilascio del documento State of internet Security  il cui contenuto presagiva un periodo di nuova consapevolezza. Start up israeliana, coperta da brevetto, con numerosi riconoscimenti mondiali.
Non è un sostituto delle attuali soluzioni di End Point Protection ma rappresenta tecnicamente un nuovo layer di security da implementare. Può convivere con altri sistemi aumentandone la loro efficacia, proteggendoli in quelle fasi dove oggi sono estremamente vulnerabili, permettendo quindi di avere una efficentazione economica molto importante in termini di protezione degli investimenti fatti fino ad ora nella cybersecurity diminuendo il TCO di una azienda.

Deceptive bytes adotta appieno la metodologia in oggetto, lavorando come un codice malevolo rivolto ai nostri avversari. Rappresenta il contro spionaggio. Con DB inganniamo i nostri attaccanti con le  loro stesse tattiche facendo in modo che l’attaccante non abbia mai i presupposti ideali per andare in una fase esecutiva dell’attacco, lì dove le attuali soluzioni potrebbero fallire o comunque si potrebbero verificare dei danni.

Stiamo definendo un nuovo standard nella CyberSecurity.

Simone Fratus – CyberSecurity Specialist di TAG Company

Il CIO CLUB ITALIA ringrazia tutti i professionisti che vogliono contribuire a diffondere il know-how per gli iscritti dell’associazione. Grazie Simone!

 

Share This